Imaginemos por un segundo que estamos de vuelta en el trabajo, revisando tu correo electrónico como cualquier otro día. De repente, recibes un mensaje demarcando cierta urgencia: “¡Tu cuenta será suspendida! Haz clic aquí para solucionarlo”. Sin pensarlo dos veces, haces clic. ¿Qué podría salir mal? Mucho, en realidad. Pues sí. Esta acción realizada con cierta ingenuidad podría abrirle la puerta a un ciberdelincuente para robar datos, infectar los sistemas que normalmente utilizamos o incluso paralizar toda una empresa.
No crean que este tipo de situaciones son solo pura ciencia ficción; ocurren todos los días. Y aunque suene tentador culpar a la tecnología por no protegernos lo suficiente y hacer alusión al mito de la tecnología infalible, la verdad es que el mayor riesgo no está en los sistemas, sino en nosotros mismos. Sí, en las personas.
Por eso, dado que actualmente los ciberataques son cada vez más comunes, las organizaciones están adoptando un enfoque llamado Zero Trust (confianza cero). Pero, ¿qué significa esto? Básicamente, que nadie, ni siquiera tú, es 100% confiable por defecto. Y aunque suene un poco frío, pudiera parecer la mejor manera de protegernos. Aquí en breve, en #CódigoSeguro te explicamos por qué el factor humano es la pieza clave en cualquier estrategia y cómo tú puedes marcar la diferencia.
Como bien explicamos anteriormente este modelo se fundamenta en el principio de que ningún usuario, dispositivo o sistema debe ser confiable por defecto, incluso pudiera estar dentro de la red corporativa. Claro está que esto implica verificar constantemente la identidad y los permisos de acceso. Aunque herramientas como la autenticación multifactor (MFA) y la segmentación de redes son esenciales, no son suficientes. ¿Por qué? Porque los atacantes siguen apuntando al eslabón más vulnerable: las personas.
Desde que los seres humanos entraron en la era de la información, el problema de la seguridad de la información ha sido desconcertante con el desarrollo y la aplicación práctica de la tecnología de la información. El modelo tradicional de protección de redes de datos basado en el perímetro, divide la red en interna y externa con un cortafuegos, un sistema de detección de intrusiones (IDS) o un sistema de prevención de intrusiones (IPS) como frontera.
Según la ubicación física del objeto, se juzga si se encuentra en la red interna, y el objeto de la red interna se considera de confianza por defecto. Los objetos externos, por el contrario, deben ser autenticados antes de que se pueda confiar en ellos. En una arquitectura de seguridad basada en el perímetro, una vez que se autentica un objeto, se confía en él durante mucho tiempo. Por lo tanto, si un objeto malicioso se autentica, puede seguir atacando y saboteando la red interna.
Al mismo tiempo, con el continuo desarrollo de las tecnologías de computación en la nube y el Internet de las Cosas, el trabajo a distancia se ha convertido en una forma indispensable de trabajar, especialmente después de superar la epidemia de la covid-19. Por lo tanto, basándose en la ubicación física del objeto, ya no es posible juzgar si se encuentra en la red interna, y mucho menos otorgarle la confianza correspondiente. La confianza cero es un nuevo tipo de modelo de seguridad de red. Según la literatura científica este modelo ha sido objeto de gran atención en la investigación y la práctica porque puede satisfacer los nuevos requisitos de seguridad de las redes.
Un ejemplo que ilustra esto muy bien es que precisamente hace dos años, en pleno 2023, el 74% de las brechas de seguridad se debieron a errores humanos, según informes de las grandes tecnológicas de las información y las comunicaciones a nivel global. Esto incluye desde empleados que caen en trampas de phishing hasta configuraciones incorrectas de sistemas. La tecnología puede mitigar estos riesgos, pero no eliminarlos por completo.
En estos entornos, los empleados no son solo usuarios, sino guardianes activos de la ciberseguridad. Un equipo bien capacitado puede identificar y reportar actividades sospechosas, como correos electrónicos de phishing o intentos de ingeniería social. Esto es crucial, ya que muchos ataques comienzan con un simple engaño. La confianza cero no solo se trata de limitar accesos, sino de empoderar a las personas para que tomen decisiones informadas. Un empleado que sabe identificar un correo malicioso es tan valioso como un firewall bien configurado.
Implementar esto en las organizaciones a nivel mundial y a nivel nacional no es solo una tarea técnica; requiere un total cambio cultural. Las organizaciones deben fomentar una mentalidad de “seguridad primero”, donde todos, desde los directivos hasta el empleado más reciente, entiendan su rol en la protección de los activos digitales.
En varias empresas, la confianza cero se ha implementado con éxito no solo por su tecnología, sino porque han creado una cultura donde la seguridad es responsabilidad de todos. Esto incluye capacitaciones continuas, simulacros de diversas amenazas y políticas claras de acceso. Algunos podrían argumentar que la tecnología puede reemplazar la necesidad de involucrar a las personas. Sin embargo, incluso los sistemas de inteligencia artificial más avanzados necesitan supervisión humana para evitar falsos positivos o tomar decisiones en contextos ambiguos.
Hay que tener en cuenta que se basa en los siguientes cinco supuestos básicos:
- La red se encuentra en un entorno peligroso todo el tiempo.
- Existen amenazas externas o internas en la red de principio a fin.
- La ubicación de la red no es suficiente para determinar la credibilidad de la red.
- Todos los dispositivos, usuarios y tráfico de red deben estar autenticados y autorizados.
- Las políticas de seguridad deben ser dinámicas y calcularse en función del mayor número posible de fuentes de datos.
Basándose en los supuestos anteriores, se cree que el modelo de confianza cero se adhiere a los cuatro principios básicos siguientes:
- Autenticar a los usuarios: Evaluar la seguridad del usuario en función de su ubicación, dispositivo y comportamiento para determinar si es quien dice ser. Adopte las medidas adecuadas (como la autenticación multifactor) para garantizar la autenticidad del usuario.
- Autentique los dispositivos: Tanto si se trata de dispositivos corporativos, BYOD o hosts públicos, como de computadoras portátiles o dispositivos móviles, aplique políticas de control de acceso basadas en la identidad y la seguridad de los dispositivos. Sólo los terminales de confianza pueden acceder a los recursos de la empresa.
- Restringir el acceso y los permisos: Si los usuarios y dispositivos están autenticados, implanta un modelo de control de acceso a los recursos basado en roles, dándoles los permisos mínimos para completar el trabajo en ese momento.
- Adaptativo: Diversas fuentes (como los usuarios, sus dispositivos, todas las actividades relacionadas con ellos) están siempre produciendo información continuamente. Aprovechar el aprendizaje automático para establecer políticas de acceso sensibles al contexto, ajustarse y adaptarse automáticamente a las políticas.
La confianza cero no es un destino, sino un viaje. A medida que las amenazas evolucionan, también lo deben hacer las estrategias de seguridad. Aquí es donde el factor humano se vuelve aún más crítico. Las personas no solo deben ser capaces de seguir protocolos, sino también de adaptarse a nuevas amenazas y colaborar con herramientas tecnológicas. Con el auge de la inteligencia artificial y el aprendizaje automático, las organizaciones tendrán que equilibrar la automatización con el juicio humano. Por ejemplo, un sistema de detección de anomalías puede alertar sobre actividad sospechosa, pero será un analista humano quien determine si se trata de una amenaza real.
La confianza cero es, sin duda, uno de los enfoques más efectivos para proteger a las organizaciones en un mundo digital cada vez más hostil. Sin embargo, su éxito depende en gran medida del factor humano.
Las personas no son el eslabón más débil; son la pieza central que puede hacer que toda la estrategia funcione. Invertir en concienciación, capacitación y cultura de seguridad no es opcional; es una necesidad estratégica. No se trata solo de un gasto en capacitación, sino de una inversión que puede ahorrar millones de dólares, proteger la reputación de la empresa y, lo más importante, prevenir daños irreparables.
Al fin y al cabo, la ciberseguridad no se trata solo de proteger sistemas, sino de empoderar a quienes los usan. En un mundo donde los ciberataques son inevitables, la pregunta no es si seremos atacados, sino cómo estaremos preparados para responder. Y la respuesta, más allá de la tecnología, está en las personas. Confianza cero, sí, pero con un enfoque humano máximo.
Información de Cubadebate
